価格.com の改竄は SQLインジェクション

2005-5-24 11:32
このエントリーをはてなブックマークに追加

asahi.com: データベースを攻撃、外部から支配 カカクコムHP事件 によると、価格.com が改竄された事件は、OS の欠陥を利用されたものではなく、SQL インジェクションによる攻撃だったと発表されたそうです。

 関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「SQL」で操作する。今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。

SQL インジェクションだけで静的な HTML に iframe 要素などのタグが書き込まれたということなのでしょうか。だとすると XSS の欠陥もあったと言えるのではないでしょうか。静的な HTML は SQL のトリガーか何かで吐き出される仕組みだったのでしょうかね。

これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

えーと。SQL インジェクションを許したのであれば、それはプログラムの欠陥だと思うのですが。一度「最高レベルのセキュリティ」などと公言してしまいましたから、プログラムのミス、欠陥とは言いたくないのでしょうけど。

2 Comments

  1. 価格.comの攻撃手法はSQLインジェクション

    「asahi.com」の記事によれば、「価格.comクラック事件」の攻撃手法は「SQLインジェクション」によるものだと言うことです。asahi.com: データベースを攻撃、外部から支配 カカクコムHP事件-社会「SQLインジェク……

    トラックバック by 陽のあたらない美術館 -人間再生-2005-05-24 19:35

  2. Re: 価格.com の改竄は SQLインジェクション

    価格.com の改竄は SQLインジェクションより

    これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。
    攻撃者が利…

    トラックバック by [牛] うしぶろぐ2005-06-2 03:17

Sorry, the comment form is closed at this time.

70 queries. HTML convert time: 1.325 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン